จากกรณีที่ THNIC ออกมาประกาศว่าพบร่องรอยการเจาะระบบของ THNIC และประกาศให้ผู้ใช้ดำเนินการเปลี่ยนรหัสผ่าน ผมได้ทำการสอบถามเพิ่มเติมไปทาง THNIC และรับคำตอบมาดังต่อไปนี้ครับ
ระบบที่ถูกจู่โจมคือระบบการบริหารจัดการโดเมนของลูกค ้า ซึ่งพบว่ามีการเข้ามาแก้ไขข้อมูลไปทั้งสิ้น 18 แถว แต่ทาง THNIC ก็แก้ไขข้อมูลกลับภายในวันเดียวกัน และปิดระบบการล็อกอินเป็นเวลา 3 วัน โดยในช่วงระยะเวลาดังกล่าว ทาง THNIC ได้ตรวจสอบจนพบช่องโหว่ และมีการแก้ไขช่องโหว่ดังกล่าว แล้วเปลี่ยนเครื่องเซิร์ฟเวอร์เพื่อป้องกันกรณีหากผู ้จู่โจมทิ้งคำสั่งอะไรไว้ โดยอุปกรณ์ชุดเก่าทั้งหมดได้ถูกเก็บไว้เป็นหลักฐานใน การดำเนินการทางกฎหมายต่างๆ ต่อไป
สำหรับประเด็นที่คนคงสงสัยกันมากที่สุดคือรหัสผ่านชุ ดเดิมที่อาจถูกนำออกไปนั้นได้รับการเข้ารหัส (hash) ไว้หรือไม่ ทาง THNIC ได้ยืนยันว่ารหัสผ่านเดิมได้ถูกเข้ารหัสไว้ แต่เพื่อความแน่ใจจึงแนะนำให้ลูกค้าเปลี่ยนรหัสผ่านใ หม่ทั้งหมดเช่นเดียวกัน โดยเมื่อผู้ใช้ล็อกอินเข้ามาครั้งแรกหลังจากเกิดเหตุ การณ์ จะต้องผ่านระบบการยืนยันตัวบุคคล และถูกบังคับให้เปลี่ยนรหัสผ่านใหม่
ทาง THNIC ยืนยันว่าระบบ DNS นั้นปลอดภัย ไม่มีการเข้าถึง ส่วนข้อมูลลูกค้าอื่นๆ ไม่มีหลักฐานที่ยืนยันได้ว่าผู้บุกรุกได้นำออกไปหรือ ไม่ อย่างไรก็ตามข้อมูลเหล่านี้สามารถเข้าถึงได้ผ่านระบบ Whois อยู่แล้ว
ในกรณีที่ลูกค้าจดทะเบียนโดเมนผ่านตัวแทนจำหน่ายอย่า งเป็นทางการ จะไม่ได้รับผลกระทบใดๆ จากเหตุการณ์นี้ โดยสามารถตรวจสอบรายชื่อผู้แทนจำหน่ายอย่างเป็นทางกา รได้ที่ http://reseller.thnic.co.th
หลังจากตรวจพบร่องรอยการจู่โจม ทาง THNIC ได้ประสานและรับคำปรึกษาจากทาง ThaiCERT มาโดยตลอด และปัจจุบันกำลังอยู่ในระหว่างการหารือกับทาง DSI เพื่อดำเนินการทางกฎหมายต่อไป
ที่มา - อีเมลจาก THNIC


อ่านต่อ...